Zabezpieczenie forum ip.board, ustawienia dostępu do folderu na serwerze

[FxJ]

Witam, ostatnio ktoś mi się dostał do forum i w ciągu 5 dni wygenerował ruch na 5TB jak to zobaczyłem to od razu zdjąłem bazę SQL na szczęście forum było praktycznie puste.

 

Jak zabezpieczyć przed przed powtórką takiej akcji? Wersja jakiej używałem to 3.4.8.  Jakieś ustawienia dla folderu w którym jest forum, jakieś specjalne atrybuty dostępu ustawialiście może? 

[DawPi]

Skąd ten ruch był? Jakieś ślady w logach serwera? Co na to admin serwera? Jak zwykle umywa ręce?

[FxJ]

A co oni mogą (OVH) po wywaleniu bazy SQL ? Ciekawe jak doszło do tej infekcji :/

 

https://community.invisionpower.com/topic/423371-ipboard-cant-login-to-admin-panel/#comment-2600531

[DawPi]

Dokładnie, ciekawe. Niech sprawdzają logi.

[FxJ]

Skasowałem bazę, w czym mieli by ją sprawdzić? Mi raczej chodzi teraz o zabezpieczenie się na przyszłość, poznanie drogi infekcji. 

[DawPi]

Ja cały czas o tym mówię. Co ma piernik do wiatraka, że nie ma bazy? Napisz do nich, niech szukają w jaki sposób się ktoś dostał.

[FxJ]

Myślisz ze im się będzie chciało? LOG-i znajdę w plikach na serwerze?

[DawPi]

A komu ma się chcieć? Co my mamy z tym wspólnego?

[FxJ]

OK napiszę jeszcze raz może podlinkuję ten wątek Ale jakie mogły być potencjalne błędy w konfiguracji dostępu do serwera przez www?

[DawPi]

Hm, my tu jesteśmy od forum.

[FxJ]

No właśnie ale to są chyba podstawy zabezpieczania forum W końcu każdy je stawia na nich

[Jurij]

Nie rozumiesz, że admin serwera powinien wiedzieć, skąd Ci się ten ruch wziął i że to nie ma związku z zabezpieczeniami forum (bo nikt Ci się na nie nie włamał)?

[FxJ]

Zakładam że zrobił sobie z niego atak DoS 

[semenedar]

Nie można sobie z IP Board zrobić bazy wypadowej pod ataki DOS Nie ma to nic wspólnego ze skryptem. Atak DOS czyli denial of service, czy może prędzej DDOS, distribute denial of service, polega na tym, że się zalewa serwer "zapytaniami" tak skutecznie, że ten w końcu przestaje odpowiadać i strona "pada". Zrobić bazę "wypadową" to można prędzej z komputera, czy może raczej tysięcy komputerów "zombie" zrobić. One wtedy atakują określony cel a posiadacz maszyny zwykle nic o tym nie wie, że jego maszyna uczestniczy w zbiorowym DDOS. Nie ważne jest więc co Ty masz na serwerze za skrypt, tylko jak jest sam serwer odporny na ataki dosowe, jacy są admini i jak szybko zareagują, czy Ci nie wypowiedzą usług, albo nie "umyją rąk" od problemu, jeśli jesteś na separowanej usłudze, np VPS. Można co najwyżej próbować powstrzymać ataki poprzez cloudflare, lub poprzez helpdesk hostingu, gdzie admini, jeśli są kompetentni i wrażliwi na problem, to zlokalizują i wytną atak. Na to bym jednak nie liczył a prędzej na wypowiedzenie umowy usług, lub przesiadkę obowiązkową na VPS gdzie masz zazwyczaj swoją separowaną przestrzeń. Gdzie atak na Ciebie, nie spowoduje problemu z działaniem innych serwisów.

Pozdrawiam.

Edytowane 7 Grudnia 2015 przez semenedar

[FxJ]

Nie przechowujemy logów dla usuniętych baz danych,  jeśli klient coś usuwa to nie wyraża zgody na dalsze przechowywanie danych i logów związanych z usługą. 

 

Chyba, że ma Pan taką sytuację na nowej bazie, to proszę o większą liczbę szczegółów. 

 

No i to by było tyle 

 

https://drive.google.com/folderview?id=0B6pcCFAGHHOtc0VIUmsyYU9aZHM&usp=sharing

@semenedar Popatrz tylko ile wysłane

[DawPi]

Pytanie tylko coś się uczepił tak tej bazy danych. Tak jakby włam był na bazę i przez bazę.

[FxJ]

Pytanie tylko coś się uczepił tak tej bazy danych. Tak jakby włam był na bazę i przez bazę.

A jakiś (wstrzyknięty) skrypt byłby w stanie taki ruch wywołać?

[kodif]

O Matko boska, o czy Wy w ogóle rozmawiacie???

Przecież ten ruch, na owym obrazku generuje cały serwer MySQL a nie baza danych! Na tym serwerze jest pewnie jeszcze ze 100 baz danych innych użytkowników (sądząc po odpowiedzi supportu, zakładam dzielony hosting) i nic dziwnego że ma całościowo duży ruch.

 

Sprawdź w swoim koncie na ovh jaki transfer zużyłeś, to jest miarodajne dla konta, a nie status serwera SQL...

[semenedar]

A jakiś (wstrzyknięty) skrypt byłby w stanie taki ruch wywołać?

 

Oczywiście że byłby w stanie. Wstrzyknięty w istniejące pliki, (wtedy pół biedy bo łatwo nadpisać), lub dodany do plików. Dlatego warto mieć backup nie tylko bazy ale też wszystkich plików aby w razie potrzeby przeprowadzić prostą a skuteczną czynność:

 

- Usunąć CAŁĄ zawartość FTP

- Przywrócić ZDROWĄ paczkę plików wraz z zawartością

- Przywrócić bazę ZGODĄ z tą wersją plików

 

... i mieć kłopot z głowy. Zawsze się to wiąże z jakimiś stratami. Utracisz kilka tematów, trochę PW, jakiś postów i zmian które były w ostatnim czasie na forum przeprowadzone, ale zyskasz zdrowe forum. Inna kwestia, na co Ty patrzysz, śledząc zużycie transferu? Czy to przypadkiem nie jest dzielony hosting? Jeżeli masz TYLKO TO, i tylko jedną domenę, to problemu szukaj tutaj. Jeżeli jednak domen masz zaparkowanych kilka pod jedną usługą, to zapytaj operatora czy masz właczoną izolację open_basedir. Będzie wiedział o co chodzi. Zastanów się też, czy aby na pewno na Twoje forum, jest w ogóle jakiś atak.

 

( PS- Pisałem z KODIFem w tym samym czasie, więc jedna z porad, mogła się powtórzyć).

Edytowane 11 Grudnia 2015 przez semenedar

[Jurij]

 

- Usunąć CAŁĄ zawartość FTP

- Przywrócić ZDROWĄ paczkę plików wraz z zawartością

- Przywrócić bazę ZGODĄ z tą wersją plików

 

A po co zaraz tak drastycznie? Robisz kopię obecnego ftp, porównujesz za pomocą WinMerge z backupem zdrowym i raz, że wiesz które pliki zostały uszkodzone, dwa - wiesz jak zostały uszkodzone i widzisz wprowadzony złośliwy kod, a trzy - naprawiasz szkody, zmieniasz hasła gdzie się da i forum jest zdrowe, wyleczone i bezpieczne. I gra gitara

[FxJ]

A można to zrobić bardziej automatycznie niż porównywać w WinMerge prawą i lewą stronę? 

[FxJ]

http://www.forum.nieidealny.pl/

 

Postawiłem na nowo widzicie jakieś luki?

[Jurij]

Postawiłem na nowo widzicie jakieś luki?

 

Jest co najmniej jedna - leniwy administrator.

 

 

A można to zrobić bardziej automatycznie niż porównywać w WinMerge prawą i lewą stronę? 

 

Przecież ten program porównuje pliki właśnie automatycznie, musisz tylko przejrzeć gdzie są różnice i tylko tak się dowiesz, jakie szkody zostały poczynione.

[FxJ]

Jest co najmniej jedna - leniwy administrator.

 

Co najwyżej niedoświadczony i zajmujący się tym w wolnej chwili

 

 

Przecież ten program porównuje pliki właśnie automatycznie, musisz tylko przejrzeć gdzie są różnice i tylko tak się dowiesz, jakie szkody zostały poczynione.

 

OK zaznaczyłem "include subfolders" znalazło 27 plików z więcej niż 1 różnicą i 902 z 1 różnicą ale to chyba różnica w kodowaniu bo dokumenty są całe zaznaczone lub całe bez separatorów zwykle sprawdzam https://www.diffnow.com/ 

[Jurij]

No to teraz przejrzyj te pliki i sprawdź na czym te różnice polegają